내재적 위험 대 잔류 위험: 차이점 및 예 설명
게시 됨: 2022-09-29이 게시물에서는 고유 위험과 잔류 위험의 주요 차이점을 살펴보겠습니다. 둘 다 나름의 의미가 있으므로 먼저 위험 관리가 무엇인지 살펴보겠습니다.
위험 관리란 무엇입니까?
리스크 관리는 기업과 조직에서 수행되는 가장 필수적인 프로세스 중 하나입니다. 조직의 이익 및 자원 위험을 평가, 인식 및 관리하는 것으로 설명할 수 있습니다. 이 개념은 새로운 것이 아닙니다. 그러나 조직이 위험을 바라보는 방식이 바뀌었습니다.
모든 조직의 중요한 위험에는 재무 보안, 규제 책임, 전략적 관리, 자연 재해 및 기타 사고가 포함됩니다. 회사는 일반적으로 위험을 고려하지 않고 위험을 설정하고 보이지 않는 위험이 발생할 때마다 운영을 실패할 수 있습니다. 이러한 위험을 적절하게 관리하지 못하면 조직이 장기 목표를 결정하기가 상당히 어려워집니다.
관리자는 운영 중에 존재하는 여러 유형의 위험을 알고 있어야 합니다. 위험을 올바르게 관리하려면 특정 통제를 설계하고 구현하기 전과 후에 위험을 평가하는 방법을 이해하는 것이 매우 중요합니다. 이것은 위험, 내재 위험 및 잔류 위험 측면에서 이전에 들었을 수 있는 두 가지 용어를 제공합니다.
조직 내에서 가장 일반적이고 적용 가능한 두 가지 위험을 자세히 살펴보겠습니다. 그것들은 상관관계가 있으며 잘 관리되어야 합니다.
내재적 위험이란 무엇입니까?
고유 위험은 제한 및 통제를 구현하지 않고 운영 내에 존재하는 위험의 수를 나타냅니다. 즉, 내재적 위험은 일반적으로 운영에 대한 통제가 없을 때 발생합니다. 이러한 유형의 위협은 이를 해결하기 위한 노력을 기울이기 전에 자연스럽게 존재합니다. 따라서 언급된 위험에 대한 복구 전략 개발에 영향을 미칩니다.
내재된 위험은 회사의 목표와 목표가 설정되고 회사가 목표를 달성하는 데 방해가 될 수 있는 모든 장애물을 인식한 후에만 결정할 수 있습니다. 위험이 조직에 가져올 수 있는 영향을 인식하는 것 외에도 관리자는 자연적 원인 또는 오류에서 비롯되었는지 여부에 관계없이 위험의 원인과 원인을 식별하는 것도 고려해야 합니다. 이렇게 하면 위험의 특성과 원인이 밝혀져 발생 확률이 낮아집니다.
내재된 위험의 예
고유한 위험은 회사마다 다를 수 있지만 제어를 통해 해결되지 않을 경우 심각한 보안 문제를 일으킬 가능성이 있는 몇 가지 일반적인 예를 살펴보겠습니다.
- 민감한 개인 데이터의 손실 또는 잘못된 취급 – 적절한 통제 없이 모든 데이터가 보호되고 저장되도록 합니다. 관리자와 회사는 회사 또는 고객 데이터를 노출하거나 손실할 수 있습니다.
- 보안 소프트웨어 또는 장치의 부족 – 직원의 지침을 표준화하고 직원이 장치를 처리하는 방법에 대한 암호 규칙을 만드는 것은 회사 소프트웨어 및 하드웨어를 보호하는 데 도움이 될 수 있는 통제의 좋은 예입니다. 이러한 통제가 존재하지 않거나 너무 느슨하면 데이터 침해가 발생할 수 있습니다.
- 무단 및 부적절한 사용자 액세스 – 권한이 있는 직원만 특정 정보를 보고 처리할 수 있도록 정보에 대한 액세스를 모니터링하고 규제해야 합니다. 특정 정보에 대한 잘못된 시선은 개인 정보 보호법 위반, 잠재적 소송, 계약 위반 등으로 이어질 수 있습니다.
감사에는 여러 유형의 위험이 포함되며 고유한 위험은 가장 위험한 위협 중 하나로 간주됩니다. 더 많은 보호 장치 또는 감사자를 제거하는 것은 가볍게 생각하지 않습니다. 그러나 조직의 재무 제표를 분석할 때 해결해야 합니다.
잔류 위험이란 무엇입니까?
위험 관리에는 비즈니스 운영의 위험을 극복하는 여러 가지 방법이 있습니다. 잔류위험은 그 장소에 통제 없이 존재하는 위험이다. 이러한 유형의 위험은 조직이 위험 이벤트의 가능성과 영향을 최소화하기 위해 예방 조치를 취한 후에도 여전히 남아 있는 위험으로 쉽게 제기될 수 있습니다.
위험 이전은 위험이 다른 팀이나 당사자에게 이전되는 경우입니다. 마지막으로, 위험 수용은 경영진이 특정 위험을 인지했지만 위험 해결에 투자하지 않기로 결정할 때 발생합니다. 위험을 처리하기 위한 모든 노력에도 불구하고 존재할 수도 있고 없을 수도 있는 모든 위험을 근절하는 것은 매우 복잡하고 불가능합니다. 위험은 통제의 완화 후에도 남아 있으며 일반적으로 잔류 위험으로 알려져 있습니다.
잔류 위험의 예
내재적 위험과 마찬가지로 잔여 위험도 회사마다 다릅니다. 보안이 통제될 때마다 모니터링해야 하는 잔여 위험의 주요 예는 다음과 같습니다.
- 이메일 피싱 – 항상 외부 당사자의 위험이 있습니다. 이메일 피싱은 공격자가 이메일을 통해 개인 정보를 얻거나 단순히 시스템을 해킹하는 것입니다. 피싱 이메일은 종종 고객 서비스, 회사 임원 또는 HR 부서 등과 같은 권한 발신자가 보낸 것처럼 보이도록 만들어졌습니다.
- 타사 사이버 공격 – 이러한 사이버 공격은 일반적으로 조직의 회사 네트워크 내에 저장된 정보를 비활성화, 중단 또는 제어하려는 외부 의도가 있을 때 발생합니다. 공격은 제3자에 의해 수행되기 때문에 공격이 발생해야 하는지 여부와 시기를 아는 것은 매우 불가능합니다. 적절한 통제와 점검이 이루어지더라도 이것은 여전히 잔류 위험으로 남아 있습니다.
- 내부 정보 도용 – 사람들은 종종 사이버 공격을 익명의 제3자 행위자와 연관시킵니다. 로깅 및 모니터링을 통해 개인 데이터의 잘못된 취급 및 권한 있는 계정의 오용과 같은 고유한 위험을 해결할 수 있지만 이러한 유형의 공격 가능성을 도울 수 있지만 여전히 잔류 위험으로 간주됩니다. 회사 내 사람들이 수행하는 방해 행위도 고려해야 합니다.
위험 평가
고유한 위험 평가는 CISOS 및 보안 팀에 보안 제어를 강화하기 위한 프레임워크를 제공합니다. 최상위 평가 외에 고유 위험 평가는 가치가 거의 없습니다. 잔류 위험 평가는 실제 가치가 있으며 사이버 범죄자가 악용하기 전에 노출을 식별하고 수정하는 데 도움이 됩니다.
잔류 위험 대 고유 위험 및 평가 방법
모든 설명, 예 및 고유 위험과 잔여 위험이 어떻게 관련되어 있는지에 대해 학습한 후. 모든 작업 내에서 위험을 평가하고 제어하기 위해 따를 수 있는 몇 가지 단계를 살펴보겠습니다.
1. 리스크 대응방안 수립
첫째, 위험이 발생할 경우 취해야 할 대응책을 마련하는 것이 중요합니다. 이는 위험 가능성 및 위험 영향 측면에서 매우 흥미로울 수 있으며 심각성이 운영 및 비즈니스 자체에 가져올 수 있습니다. 주의 깊게 분석한 후에 위험을 쉽게 관리할 수 있습니다.
2. 실험 제어
실험은 확립된 위험 통제에 접근하고 원하는 위험에 대한 솔루션만큼 효과적인지 예측하는 데 필수적입니다. 위험을 제거하기에는 완벽할 수도 있고 완벽하지 않을 수도 있지만 위험을 일정 수준까지 낮출 수 있는 한 목표가 되어야 합니다.
3. 위험 통제 설정
위험 통제는 주로 위험을 해결하고 일반적으로 위험 감소를 구현하기 위해 수행됩니다. 대부분의 경우 위험 관리는 비용에 의해 영향을 받을 수 있는 위험을 낮추기 위해 비즈니스 운영에 추가 절차가 필요합니다.
배상
모든 배상 및 시정 계획은 개인적이어야 할 위험을 해결하면서 이루어졌습니다. 이렇게 하면 동일한 위협이 반복적으로 발생하는 경우 추가 개선 또는 향후 참조를 위한 정보를 가져올 수 있습니다.
내재적 위험은 일반적으로 다음과 같은 질문에 답합니다.
- 이 제3자는 어떤 일반적인 위험을 내포합니까?
- 내재적 위험은 회사 생태계 전반에 어떻게 분산되어 있습니까?
- 이 제3자가 사이버 사고를 당한다면 얼마나 나쁠 수 있습니까?
- 어떤 제3자가 서로에 대해 가장 크고 가장 작은 고유 위험을 제기합니까?
잔류 위험은 일반적으로 다음과 같은 질문에 답합니다.
- 제3자는 구체적으로 어떤 위험을 초래합니까?
- 이 제3자에게 영향을 미칠 수 있는 위험 유형은 무엇입니까?
- 기업 생태계 전반에 걸쳐 잔여 위험이 어떻게 분산되어 있습니까?
- 이 개별 제3자 내에서 잔여 위험은 어떻게 분배됩니까?
- 어떤 제3자가 특정 통제, 사이버 사고 유형 및 기타 사항에 대해 가장 적은 위험과 가장 큰 잔류 위험을 제기합니까?
관련된:
24가지 최고의 위험 관리 소프트웨어
포장하기
조직의 위험과 위험을 관리하는 방법에 대한 진정한 이해는 모든 사람의 삶의 일부입니다. 차기 프로젝트 관리자는 다양한 유형의 위험을 구별하고 계획하는 방법을 배우면 리소스와 시간을 보다 효율적으로 관리하는 데 도움이 됩니다.